Re: 속속편 - 해킹시도-재발

News, Internal, Projects, Home
Software, Support, Documentation

Re: 속속편 - 해킹시도-재발

To: questions@xxxxxxxxxxxxxx, yongari@xxxxxxxxxxx
Subject: Re: 속속편 - 해킹시도-재발
From: CHOI Junho <cjh@xxxxxxxxxxxxxx>
Date: Sun, 06 Oct 2002 23:01:25 +0900 (KST)
Content-transfer-encoding: 8bit
Content-type: Text/Plain; charset=euc-kr
Delivered-to: questions-outgoing@kr.freebsd.org
Delivered-to: questions@kr.freebsd.org
In-reply-to: <20021005034411.GA6710@kt-is.co.kr>
Organization: Korea FreeBSD Users Gruop
References: <000a01c26bf9$57ffb600$0b00a8c0@bruto> <20021005034411.GA6710@kt-is.co.kr>
Reply-to: questions@xxxxxxxxxxxxxx
Sender: owner-questions@xxxxxxxxxxxxxx

Limiting... 은 이 서버에서 다른 서버에 Ping 할 때가 아니라 다른
서버에서 이 서버에 ping을 너무 많이 할 때 스스로 응답률을 제한하는
것입니다.. 즉 공격받고 있다고 보시는 것이 좋겠고요...

ipfw 를 사용할 수 있으면 icmp 패킷을 모두 막아 보세요.

  ipfw add <번호> deny icmp from any to any

룰셋 번호는 기존 규칙이 있을 경우 적당한 곳에 끼워넣어야 합니다. ipfw
규칙이 아무것도 없다면 1000 정도 주시면 됩니다.

apache에 쌓이는 로그 문제는 Nimda/Code Red 공격으로 말씀드렸는데 이
시스템이나 다른 시스템에 해를 끼치지 않습니다. Windows 시스템만 공격을
받을 가능성이 있기 때문입니다.

httpd를 내려놓고, tcpdump 등을 사용해서 무슨 패킷이 또 오고가는지
살펴보세요.. 그리고 netstat 을 사용해서 모르는 곳에서 연결된 것이
있는지 살펴보시기 바랍니다.

From: Pyun YongHyeon <yongari@kt-is.co.kr>
Subject: Re: 속속편 - 해킹시도-재발
Date: Sat, 5 Oct 2002 12:44:13 +0900

> On Fri, Oct 04, 2002 at 03:56:50PM -0700, sammycom wrote:
>  >> 속속편 - 해킹시도-재발
>  >> 
>  >> 문제되던 FreeBSD서버(66.218.xxx.133)를 다시 ?V업하고나서 일주일간은 모든게 정상적인것 같더니
>  >> 똑같은 문제가 다시 게속일어납니다.
>  >> 아파치+ssl 문제인것 같아서 httpd를 아예 죽여버리고, named 까지 지워도 마찬가지에요 이 서버만 네트워에 물리면
>  >> 다른 나머지의 아이피 컴(66.218.xx.132) 에서도 default gateway(66.218.xx.1) 까지도 인터넷이 나기질 못함니다.
>  >> 그리고 로그파일(/var/log/messages)에 다음과 같은 로그가 1초간격으로 쌓입니다.
>  >> 로그파일에만 쌓이는게 아니고 콘솔모니터에 게속 나옵니다.
>  >> 
>  >> Limiging icmp unreach from 204 to 200 packet per second
>  >> Limiging icmp unreach from 271to 200 packet per second
>  >> Limiging icmp unreach from 231to 200 packet per second
>  >> Limiging icmp unreach from 220to 200 packet per second
>  >> ...(아이피 번호같은거는 없구요)
>  >> 
> 시스템의 해킹이 의심스럽습니다.
> 1. ICMP port unreachable code는 UDP로 접속시도시 해당 서버에 서비스가
>    없을 경우 접속한 서버에서 생성합니다.
>    해킹된 후 rootkit같은 것이 설치되어서 다른 여러 시스템을 검사하고 있을 경우
>    발생할 수 있습니다.
> 
> 2. 이 시스템만 연결하면 다른 시스템도 network이 되지 않는다고 하는것을 보면
>    아마도 이 시스템에서 network에 상당한 부하를 주는 일을 하고 있을 수 있습니다.
> 
> 같은 버젼의 깨끗한시스템과 hash 값을 비교해 보시기 바랍니다.
> cksum(1), sum(1)은 효과가 없고 반드시 Cryptographic Hashing을 사용해야 합니다.
> 대표적인 것으로는 MD5, RIPEMD160 등이 있습니다.
> MD5값은 md5(1)나 openssl(1)로 구할 수 있습니다.
> 최소한 다음의 프로그램에 대해서 모두 검사하고 하나라도 다른것이 있다면
> 데이타 백업후 시스템을 새로 설치하세요.
> 
> ls, ps, ifconfig, md5, openssl, top, netstat,
> sockstat, fstat, sshd, inetd, telnetd, syslogd 등 
> 
>  >> 
>  >> 어느분 조언대로 같은 서브넷(66.218.32.0/19 : 66.218.32.0 - 66.218.63.255) 
>  >> 을 사용하는 그 주변동네(또는) 의 바이러스감염된 컴때문에 그럴수도 있는것 같아서 ISP 에 문의, 항의 했지만.
>  >> 
>  >> ISP 왈 :  진짜로 어느 아이피의 바이러스때문인지 확인할수도 없는 상황에서 로그파일만 갖고서 
>  >> ip소유한 사용자 일일이 너네 컴바이러스때문에 같은 지역 다른사용자가 피해본다고  할수도 없고 또 가각 사용자의 바이러스 문제까지 간섭하거나 확인할수있는 문제가 아니라고 만 하니 , 그 또한 일리있는 말이기도 합니다.
>  >> 
> 맞습니다. ISP가 취할 수 있는 조치라는것은 거의 없습니다.
> 기껏해야 ISP가 관리하는 서버중 문제있는 서버의 분리정도 입니다.
> 이 마저도 많이 주저하는 편이죠.
> 
>  >> 그리고 httpd 로그파일보니까 66.218.xxx.yyy: ....scipt/winnt/cmd.exe 어쩌구 하는 줄이 꼭 같은 서브넷에서
>  >> 들어오는것도 있지만 
>  >> 24.xxx.xxx.xxx: : ....scipt/winnt/cmd.exe 
>  >> 206.xxx.xxx.xx. : ....scipt/winnt/cmd.exe 
>  >> ..
>  >> 이렇게 전혀 다른 네트워크 주소에서도 들어오더라구요.
>  >> 
>  >> 이럴때는 어떻게 해야할지 모르겠네요
> 이건 어느서버에나 있는 정상적인 현상입니다.
> 인터넷상에서는 바이러스나 웜에 감염된 서버들이 공격대상을 항상 찾고 있거든요.
> 그리고 해키을 공부(?)하는 초보자들이 공격프로그램을 구해서 시험하기도 합니다.
> 
> -- 
> ============================================================
> // Korea Telecom Internet Solutions, Inc.
> //   FreeBSD/Linux Professional Consulting/Tech. Support
> // 
> // Pyun YongHyeon
> //
> // WWW: http://www.kt-is.co.kr/
> // FTP: ftp://ftp.kt-is.co.kr/
> //
> // TEL: +82-2-364-0400
> // FAX: +82-2-364-9119
> ============================================================
> --
> Please look and take part in KFUG FAQ: <http://www.kr.freebsd.org/FAQ-kr/>
> To Unsubscribe: send mail to majordomo@kr.FreeBSD.org
> with "unsubscribe questions" in the BODY of the message

--
CHOI Junho <http://www.kr.FreeBSD.org/~cjh>
$mail->{"Korea FreeBSD Users Group"} = "cjh at kr.FreeBSD.org";
$mail->{"FreeBSD Committer"}         = "cjh at FreeBSD.org";
$mail->{"Web Data Bank"}             = "cjh at wdb.co.kr";
--
Please look and take part in KFUG FAQ: <http://www.kr.freebsd.org/FAQ-kr/>
To Unsubscribe: send mail to majordomo@kr.FreeBSD.org
with "unsubscribe questions" in the BODY of the message

참조:
- 속속편 - 해킹시도-재발
  - From: sammycom
- Re: 속속편 - 해킹시도- 재발
  - From: Pyun YongHyeon

이전 글: Re: 포트로 설치한 프로그램의 새 버젼이 나왔을때, 패치는?
다음 글: gaim 사용중에.
이전 댓글: Re: 속속편 - 해킹시도- 재발
다음 댓글: [질문] 커널 컴파일 이후에 몇가지 이상한 점이 있어서요.

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인]